уторак, 23. јануар 2018.

Porazavajuca statistika primenjenih zakrpa za Meltdown i Spectre bagove


Iako sam već dva prethodna posta posvetio ovoj aktuelnoj i veoma vrućoj temi i ovaj post će biti posvećen tome. Radi se o tome da je veoma mali broj kompanija primenio zakrpe za dva veoma popularna baga Meltdown i Spectre o kojima više možete pročitati u prethodnom postu.
Po istraživanju koje je sprovela kompanija Barkly statistika kaže sledeće:
- manje od 26% sistema dobilo je zakrpe za Meltdown i Spectre bagove
- svega 4% ispitanika reklo je da su zakrpe instalirane na svim njihovim računarima
- 46% kompanija koje su obuhvaćene istraživanjem je reklo da nisu znale da je potrebno da se ispune dodatni uslovi da bi se instalirale zakrpe zbog problema sa antivirusnim programima
- 42% ispitanika je reklo da su ih proizvođači antivirusa obavestili o kompatibilnosti njihovih proizvoda sa zakrpama
- 6% ispitanika je priznalo da su imali problem sa rušenjem sistema zbog ažuriranja
- 59% ispitanika reklo da su zabrinuti da bi  instrukcije koje su dobili mogle da izazovu problem

Inače ovo je ključ koji je potrebno da bude prisutan na sistemu kako bi se zakpre za Meltdown i Spectre bagove primenili.
Microsoft je objavio Meltdown i Spectre PowerShell skriptu kako bi pomogao sistem administratorima da utvrde da li im je zakrpa potrbna ili ne. Međutim i tu statistika nije sjajna:
- samo 41% onih koji su zaduženi za sisteme u kompanijama čulo za nju.
- čak 80% ispitanika je izjavilo da proces ažuiranja nije sasvim jasan, i to je razlog zašto su mnogi sistemi ostali neažurirani.

Nadam se da će se uskoro ovo rešiti jer sigurnosni problemi vezani za Meltdown i Spectre bagove uopšte nisu naivni tako da je izuzetno važno za sve da se ovaj problem što pre na kvalitetan način reši. Zbog velike važnosti i aktuelnosti teme nadam se da mi čitaoci bloga ne zameraju što sam toliko vremena posvetio ovom problemu.

среда, 17. јануар 2018.

Novi problemi sa Meltdown i Spectre zakrpama


Taman kada smo pomislili da su svi odreagovali na pravi način i da će zakrpe za dva velika sigurnosna problema poznata kao Meltdown i Spectre o kojima sam pisao u prošlom postu biti rešenje problema pojavile su se dve nove stvari.

1. Javio se problem sa antivirus softverima


Kod nekih korisnika koji su instalirali najnovije zakrpe na Windows operativnom sistemu dešavalo se da se pojavljuje plavi ekran smrti poznat kao Blue Screen of Death (BSOD). Razlog je u tome što neki proizvođači antivirusa koriste tehnike kojima zaobilaze Kernel Patch Protection i što zapravo dovodi sisteme u stanje "plavog ekrana smrti". Iz Microsofta kažu da korisnici Windowsa neće dobiti ažuriranja iz januarskog paketa ažuriranja, kao ni naredna mesečna ažuriranja, ako antivirusni program koji oni koriste ne bude kompatibilan sa Meltdown i Spectre zakrpama. Microsoft je hitno zatražio od proizvođača antivirusa da naprave promene, jer su u kompaniji tokom testiranja zakrpa primetili da su neki antivirusi doveli do greške "plavog ekrana smrti" koja sprečava dalja pokretanja sistema.

Rešenje je pronađeno u vidu posebnog registry ključa u Windows Registry. Prisustvo ovog ključa govori operativnom sistemu Windows da je antivirus kompatibilan što je znak za pokretanje Windows Update. Neki proizvođači antivirus softvera zahtevaju od korisnika da ručno dodaju registry ključ. Razlog za to je što su kompanije primetile da neki od njihovih korisnika koriste njihov antivirus uz drugi antivirusni softver tako da automatsko dodavanje ključa može da proizvede problem sa tim drugim softverom.

Microsoft korisnicima nudi dve mogućnosti:
  • da odluče da prestanu da dobijaju bezbednosne ispravke i da ostanu sa svojim trenutnim antivirusom
  • da zamene trenutno nekompatibilni antivirus onim koji podržava ispravke za Meltdown i Spectre bagove.

Bitno je napomenuti da na korisnike Windowsa koji ne koriste antivirus ili koji koriste Windows Defender ove novine nemaju uticaj.

2. Javio se problem sa lažnim zakrpama


Nemačka kancelarija za bezbednost (Federal Office for Security and IT - BSI) je postala akter u ovoj priči i to tako što je neko poslao spam mail i predstavio se kao oni. Pošto je ova kancelarija pandam američkom NIST-u mail je bio takve sadržine da upozorava korisnike na Meltdown i Spectre propust i u njemu se nalazi link za preuzimanje zakrpa. Link vodi ka lažnom sajtu koji sadrži malver koji može da zarazi računare i smart telefone. Da bi sve ovo bilo još zanimljivije lažni sajt ima SSL sertifikat koji je neko registrovao na  .bid generičkom domenu.


Jérôme Segura istraživač iz Malwarebytes kaže da je u pitanju malver Smoke Loader koji može da instalira druge malvere. Fajl koji se preuzima i pokreće ima veoma dobre definisano ime 'Intel-AMD-SecurityPatch-11-01bsi.zip'. Posle prijave kontaktirane su kompanije Comodo i CloudFlare posle čega sajt više nije dostupan.

Ovo je po ko zna koji put pokušaj da se igra igra najslabije karike što bi u ovom slučaju bio korisnik. Takođe ovo je čist primer kako su sajber kriminalci sve pametniji i kako prate aktuelna dešavanja i pokušavaju da to iskoriste na razne načine. Jedini način da budemo koliko toliko bezbedni jeste da dobro razmislimo pre nego što kliknemo na neki fajl ili pop-up koji se može pojaviti u pretraživači i pokrenuti ko zna šta. Nadam se da sam ovim postom uspeo da bar malo utičem na svest krajnjih korisnika i ako sam vas naterao da bar malo razmislite na ovu temu uspeo sam u svojoj nameri.

уторак, 09. јануар 2018.

Sigurnosni problemi na milionima Intel procesora


Da li ste mogli zamisliti da će se u jednom momentu pojaviti takav propust koji će izložiti milione računara ozbiljnom bezbednosnom riziku. Ako niste u ovom postu ću malo pisati o takvom problemu zbog koga su Microsoft, Linux i Apple prinuđeni da ažuriraju svoje operativne sisteme.

Koji procesori su podložni napadima


Svaki procesor proizveden od 1995., sa izuzetkom Intel Itaniuma i Intel Atom procesora objavljenih pre 2013 godine, pogođen je ovim propustima, bez obzira da li koriste Windows, Linux, macOS, Android, Chrome OS ili FreeBSD operativni sistem. Bagovi prvenstveno utiču na Intelove procesore ali su i neki AMD procesori i ARM Cortex-A čipovi takođe podložni ovakvim napadima.


Kakav je ovo bag


Ono što je za sada svima jasno jeste da je bag na nivou hardvera prisutan u modernim Intelovim procesorima koji su proizvedeni u poslednjih dvadeset godina ali da to nije sve jer su i neki procesori drugih proizvođača takođe pogođeni. On omogućava programima da čitaju sadržaj iz memorije kernela, što uključuje lozinke i login ključeve do kojih se na ovaj način može doći. Kad god neki program treba da izvrši neki zadatak kao što je pisanje u fajlu ili otvaranje mrežne konekcije, on prepušta kontrolu nad procesorom kernelu, koji je jezgro operativnog sistema. Da bi prelazak iz korisničkog u kernel mod i natrag bio brz i efikasan, kernel je prisutan u virtuelnom memorijskom prostoru svakog procesa, iako je nevidljiv za te programe.
Ovde je konkretno reč o dva hardverska baga nazvana Meltdown i Spectre koji su otkriveni u Intelovim procesorima i koji utiču na skoro svaki kompjuterski uređaj proizveden u poslednje dve decenije. Računari koji rade u oblaku su najugroženiji zbog ove dve ranjivosti (CVE-2017-5753 i CVE-2017-5715 za Spectre i CVE-2017-5754 Meltdown) jer je moguće ukrasti podatke i od drugih korisnika okruženja.

Kako se izboriti sa ovim problemom


S obzirom da bag ne može biti ispravljen na nivou hardvera, proizvođači operativnih sistema kao što su Microsoft i Apple prinuđeni su da redizajniraju svoje kernele. Ispravka potpuno odvaja memoriju kernela od korisničkih procesa, što rešava problem, ali loše utiče na performanse računara.
Međutim stručnjaci upozoravaju da bi softverska ispravka mogla da uspori računare. Efekti ažuriranja na Linuxu i Windowsu mogli bi dovesti do usporavanja performansi za 5 do 30%. Prema tvrdnjama Intela, svaki uticaj na performanse zavisiće samo od radnog opterećenja uređaja koji rade sa Intelovim procesorima proizvedenim u poslednjih deset godina, i to će biti ublaženo tokom vremena. "Do kraja ove nedelje Intel očekuje da će izdati nadogradnje za više od 90% procesora predstavljenih u poslednjih pet godina", kaže se u saopštenju kompanije Intel.

Apple je već objavio MacOS High Sierra 10.13.2, iOS 11.2.2 i Safari 11.0.2, koji rešavaju problem Spectre baga dok su ažuriranja za Linux kernel već dostupna. Špekuliše se da je razlog zbog čega je ovaj propust sve do prošle nedelje bio pod velom tajne najverovatnije to što je Microsoftu bilo potrebno vreme za zakrpu koja će korisnicima biti dostupna od danas kada kompanija planira da objavi mesečni paket ažuriranja.

Nadam se da sam ovim postom uspeo da bar malo razjasnim šta je problem i koja su moguća rešenja kao i to da upozorim korisnike da je moguće da će uskoro doći do pada performansi računara na kojima rade zbog resavanja navedenog problema.

уторак, 02. јануар 2018.

Šta se sve bitno dogodilo u svetu hakera u 2017 godini


Pošto smo ušli u novu 2018 godinu pravo je vreme da se osvrnemo na sada već prošlu 2017 godinu i da hronološki prođemo kroz sve bitno što se dogodilo prošle godine u svetu sajber kriminala. Hoću da napomenem da ovde kada kažem bitni događaji mislim pre svega na velike napade ili na krađu velike količine podataka (data breachs) uključujući i maligni softver pre svega ransomware.

Idemo sada po redu:

- Mart 2017 - DDOS napadi na US college koji je trajao 54 sata. U napadu je korišćena nova verzija Mirai malvera koja je po merenjima firme Imperva Incapsula generisao preko 2,8 milijardi upita i sasvim paralisao servere.

- Maj 2017 - WannaCry ransomware je korišćen u jednom od najvećih sajber napada ikada viđenog u online svetu. Napadnut je nacionalni medicinski servis u UK (NHS) i preuzeta je kontrola na 200.000 računara sa starim MS Windows operativnim sistemom koji se nalaze u 150 zemalja.

- Maj 2017 - Napadnuta je infrastruktura za glasanje u Kaliforniji i ukradeno je 19 miliona zapisa sa glasanja koji obuhvataju ime i prezime, grad, broj telefona, adresu, status glasanja, email u druge lične podatke.

- Jun 2017 - Petya ili NotPetya malver koji briše diskove je napao poslovne subjekte u Ukraini, Englesku reklamnu agenciju WPP, FedEx, Dansku prevozničku firmu Maers, gasnog giganta Rosnet i Rusku rafineriju.

- Jun 2017 - DeepRoot marketing firma je greškom učinila dostupnom javnosti podatke od 200 miliona Američkih građana što je oko 62% populacije. Među dostupnim podacima bili su: kućna adresa, političko opredeljenje, broj telefona i datum rođenja. Ovi podaci bili su dostpni neko vreme dok istraživači nisu prijavili incident kompaniji posle čega je onemogućen pristup a kompanija tvrdi da su zaposlenni krivi za incident i da nije reč o hakersko napadu.

- Jul 2017 - Equifax kredit report agencija je napadnuta i ukradeni su podaci o 143 milliona Amerikanaca. U napadu su korišćeni hakerski alati koji pripadaju agenciji NSA a do kojih je došla grupa Shadow Brokers.

- Avgust 2017 - HBO je napadnut od strane Iranskog hakera koji je ukrao veliku količinu materijala veoma popularnog serijala Game of Thrones uključujući i još ne emitovane epizode među kojima je i 7 i završna epizoda sezone.

- Avgust 2017 - Taringa društvena platforma koja je  medijski gigant u latinskoj Americi je hakovana i ukradeno je 28 miliona korisničkih naloga. Od podataka tu su: korisniča imena, email adrese i lozinke hešovane sa MD5 algoritmom. Kompanija se oglasila povodom ovoga i izjavila da brojevi telefona i bitkoin novčanika nisu ukradeni.

- Septembar 2017 - CCleaner softver je hakovan po izveštaju kompanije Avast od strane nepoznatih hakera koji su inficirali njihove servere backdoor-om koji je uticao na 2,27 miliona korisnika.

- Oktobar 2017 - Yahoo je zvanično objavio da je u toku 2013 godine došlo do sajber nada gde su hakeri ukrali 3 milijarde korisničkih naloga korisnika što predstavlja skoro sve naloge koji postoje. 

- Decembar 2017 - NiceHash market za kriptovalute je hakovan i ukradena je protivvrednost od 70 miliona dolara u bitkoinima iz kompanijskog novčanika koji je ispražnjen.

- Decembar 2017 - istraživači su detekovali na dark veb forumu fajl od 41GB koji u sebi sadrži 1,4 milijardi kredencijala u čistom tekstu (clear text) uključujući i lozinke. Istraživači veruju da je ovo fajl posledica Onliner Spambot dumpa.

Šta možemo očekivati u 2018



Svakako će se nastaviti trend sve većeg broja sajber napada što se pokazalo prelaskom iz 2016 u 2017 godinu jer je u prvoj polovini 2017 ukradeno više podataka nego u čitavoj 2016 godini. Takođe ono što će svakako biti trend to je sve veći broj napada na firme koje posluju sa kriptovalutama jer su sajber kriminalci svakako svesni gde se pare trenutno nalaze.